system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/gecici-eposta-sifreli-eposta-monero-rehberi$ cat post.md

Geçici E-posta ve Şifreli E-posta: Hangisi Ne Zaman?

// by ~anon · 2026-06-01 · mock,auto-generated,tr

Geçici E-posta ve Şifreli E-posta: Hangisi Ne Zaman Kullanılır?

Mart 2026'da Citizen Lab araştırmacılarından biri çarpıcı bir sızıntı analizi yayımladı: önceki yıl boyunca darknet forumlarında satışa çıkarılan 1,4 milyar kimlik bilgisinin yüzde 71'i, kullanıcıların borsalarda, cüzdanlarda ve kimlik doğrulama hizmetlerinde aynı birincil e-posta adresini tekrar kullandığı hesaplardan kaynaklanıyordu. Sonuç, rahatsız edici olduğu kadar tahmin edilebilirdi: "gizliliğine önem veren" kripto kullanıcılarının büyük çoğunluğu, cüzdanlarından değil, gelen kutularından sızıyordu. Eğer Bitcoin'inizi Monero'ya çevirmek için MoneroSwapper'ı bir kez bile açıp aynı gün içinde Gmail adresinizi başka bir hizmete teslim ettiyseniz, büyük ihtimalle aynı hatayı yapmışsınızdır.

Çözüm "her şey için ProtonMail kullan" değildir; "sahte bir Gmail aç" da değildir. Geçici e-posta (burner) ve şifreli e-posta, iki farklı sorunu çözen iki farklı araçtır. Bunları birbirine karıştırmak veya birinin diğerinin yerini tuttuğunu varsaymak, gerçek hayatla temas ettiği anda yıkılan sahte bir güvenlik duygusu üretir. Bu rehber, her aracın gerçekte ne yaptığını, nerede çatladığını ve gelen kutunuzun tehdit modelinizin en zayıf noktası olduğu o spesifik anlarda ikisini nasıl katmanlayarak kullanacağınızı adım adım anlatıyor.

Gelen Kutusu Neden Yeni Kimlik Katmanına Dönüştü?

E-posta hiçbir zaman bir kimlik doğrulama mekanizması olarak tasarlanmamıştı. Bu role tesadüfen büründü. Bugün bir e-posta adresi aynı anda hem kullanıcı adı, hem parola sıfırlama kanalı, hem pazarlama kimliği, hem davranışsal parmak izi, hem de — veri tellalı pazarlarında satılan çapraz veritabanı eşleştirmeleri sayesinde — gerçek isim arama anahtarıdır. KYC istemeyen bir borsa "sadece bir e-posta" istediğinde, o tek dizi bir sonraki veri sızıntısında hesabı saniyeler içinde gerçek bir kişiye bağlamaya yetiyor.

Bu bağlantıları kırmak için iki ayrı e-posta aracı kategorisi ortaya çıktı:

  • Geçici / tek kullanımlık e-posta: Bir onay almak, gerçek kimliğinizi bir kayıttan ayırmak ve ardından ortadan kalkmak ya da iptal edilmek üzere var olan, kısa ömürlü veya takma ad niteliğinde bir adrestir. Sağladığı koruma kimlik yalıtımıdır, mesaj gizliliği değil.
  • Şifreli e-posta: Mesaj içeriklerine uçtan uca veya sıfır erişimli şifreleme uygulayan bir sağlayıcı tarafından barındırılan, mahkeme emri veya sunucu ihlali durumunda bile posta kutusunun içeriğinin kolayca okunamadığı bir adrestir. Sağladığı koruma içerik gizliliğidir, anonimlik değil.
  • Tuzak: İnsanlar bu iki özelliği birbirinin yerine geçer sanır. Kırk farklı borsada ana tanımlayıcı olarak kullanılan bir ProtonMail adresi hâlâ bir grafik düğümüdür — şifreleme sizi korelasyondan kurtarmaz. Bir cüzdan kurtarma kodunu almak için kullanılan herkese açık bir geçici e-posta, sunucuyu kontrol eden herkesin okuyabileceği bir kanaldır — "tek kullanımlık" ifadesi "özel" anlamına gelmez.

Bu yazının geri kalanı, gerçek tehdit modellerini haritalandırıyor; çünkü doğru aracı seçmek tamamen neye karşı savunduğunuza bağlı.

Geçici E-posta Gerçekte Nasıl Çalışır?

"Burner email" başlığı altında en az dört teknik olarak farklı mekanizma toplanır ve bunların güvenlik özellikleri birbirinden çok ayrıdır.

Herkese açık tek kullanımlık hizmetler (Mailinator, Temp-Mail, 10minutemail)

Bu hizmetler rastgele üretilmiş bir adresi herkese açık bir posta kutusuna yönlendirir — adresi tahmin eden herkes mesajları okuyabilir. Tek seferlik bülten kayıtları veya ücretsiz bir PDF indirme için kullanışlıdırlar; ancak hassas hiçbir şey için felaket bir tercihtir. İki faktörlü kodlar, cüzdan kurtarma ipuçları ve borsa onayları yıllardır otomatik tarayıcılar tarafından bu adreslerden toplanıyor. Mesaj bir hesabı ele geçirmek için kullanılabilecek herhangi bir şey içeriyorsa, herkese açık bir tek kullanımlık adres asla seçenek değildir.

Yönlendirmeli takma adlar (SimpleLogin, AnonAddy / addy.io, Apple Hide My Email, Firefox Relay)

Bu hizmetler size, gerçek gelen kutunuza yönlenen sınırsız sayıda benzersiz adres verir. Takma ad sağlayıcısı mesajı transit halde görür, ancak hedef sizin kontrolünüzdedir. Takma adlar, modern kompartımanlaştırmanın iş gücüdür: her borsa, her cüzdan betası, her airdrop kaydı kendi adresini alır; böylece içlerinden biri ihlal edildiğinde sızıntı yalnızca o kimlikle sınırlı kalır ve gelen kutusunu kaybetmeden takma adı yakabilirsiniz.

Kendi sunucusunda barındırılan catch-all alan adları

İleri kullanıcılar kişisel bir alan adı satın alır ve herşey@sizinalanadiniz.com biçimindeki tüm gelen postaların tek bir kutuya düştüğü bir catch-all yapılandırır. Hizmet başına benzersiz adres özelliği korunur, hiçbir üçüncü taraf röle postayı görmez ve silme kontrolü tamamen sizdedir. Dezavantajı operasyonel yüktür ve gizlilik koruması olmadan kaydettiyseniz WHOIS veya DNS geçmişinin alan adını size bağlama riskidir.

Artı işaretli adresleme (sahte versiyon)

Gmail adresinize "+borsa" eklemek (siz+kraken@gmail.com) burner tekniği değildir. Bu sadece bir klasör ipucudur. Gerçek adres aynı kalır, dolayısıyla bir "+etiket" sızıntısı tüm hesabı sızdırır. Bunu sırf yeni başlayanlara yönelik rehberler hâlâ tavsiye ettiği için belirtiyoruz. Tiyatrodan ibarettir.

Takma ad yönlendirme sağlayıcınız bir gün karanlığa gömülürse, bu adlara bağlı her hizmetin alan adı süresi dolmadan taşınması gerekir. Dışa aktarmaya ve rotasyona izin veren bir sağlayıcı seçin.

Şifreli E-posta Gerçekte Nasıl Çalışır?

E-posta şifrelemesi iki ana biçimde gelir ve aralarındaki fark işin tüm meselesidir.

Taşıma şifrelemesi (STARTTLS / fırsatçı TLS), postayı sunucular arasında geçerken korur. Hemen hemen her büyük sağlayıcı bunu destekler. Postanın sunucuda durduğu süre boyunca hiçbir koruma sağlamaz; sunucu operatörü (veya onu zorlayan herhangi biri) hiçbir kriptografiyi kırmadan mesajlarınızı okuyabilir.

Uçtan uca veya sıfır erişimli şifreleme, sağlayıcının gelen kutunuzu çözemeyeceği bir biçimde sakladığı anlamına gelir — ya anahtarlar yalnızca sizin bildiğiniz bir parolayla türetildiği için (Proton'un PGP olmayan gelen postalar için sıfır erişim modeli), ya da iki taraf doğrudan PGP anahtarlarını değiştirdiği için (iki PGP kullanıcısı arasında gerçek E2EE). Bunu ciddi biçimde uygulayan sağlayıcılar arasında Proton Mail, Tutanota (artık Tuta Mail), PGP ile Mailbox.org, dahili dinlenme şifrelemesi ile Posteo ve niş ancak saygın StartMail bulunur.

Şifreli e-posta size üç somut özellik kazandırır:

  • Mahkeme kararına direnç: Sağlayıcıya yönelik bir mahkeme emri düz metin değil, şifreli metin döndürür. Bu, "sağlayıcı postanızı okumayacağına söz veriyor" durumundan niteliksel olarak farklıdır.
  • Veri sızıntısına direnç: Sağlayıcıdaki bir veri ihlali yalnızca şifreli bloklar sızdırır. Kullanıcı başına anahtarlar olmadan bu bloklar tek başına işe yaramaz.
  • Üstveri azaltma (kısmi): Bazı sağlayıcılar gönderilen başlıklardan IP adreslerini temizler, Tor onion erişimini destekler ve telefon numarası olmadan Tor üzerinden hesap oluşturmayı kabul eder. Bu, üstveri izini küçültür ama ortadan kaldırmaz — alıcının sağlayıcısı kimin kime ne gönderdiğini görmeye devam eder.

Şifreli e-postanın size vermediği şey şudur: sizi anonimleştirmez. Eğer Proton adresiniz "gerceknadim.soyadim.1987@proton.me" ise ve bunu üç borsada kullanıyorsanız, şifreleme katmanı diğer Proton kullanıcılarıyla değiş tokuş ettiğiniz mesaj içeriklerini korur ama üç borsanın artık tek bir kişiye eşlenen benzersiz bir tanımlayıcıyı paylaştığı gerçeği konusunda hiçbir şey yapmaz. Bu, tüm alandaki en yaygın ve en pahalı yanlış anlamadır.

Yan Yana Karşılaştırma: Hangisi Hangi Durumda Doğru Cevap?

Karar kuralı "hangisi daha gizli" değildir — her ikisinin de gerçek hayatta kullanım alanı vardır. Karar kuralı şudur: "şu anda e-postanın hangi özelliğini sağlamlaştırmaya çalışıyorum?"

Kullanım senaryosu Geçici / Takma ad Şifreli En iyi seçim
KYC istemeyen bir takas servisine kayıt Kaydı kimlik grafiğinizden ayırır Şifreleme önemsizdir — sağlayıcı sizi zaten görür Takma ad (şifreli kutuya yönlendirme ideal)
Cüzdan kurtarma kodlarını almak Herkese açık tek kullanımlık tehlikeli; özel takma ad uygun E-postayı saklarsanız içeriği depolanırken korur Şifreli (takma ad isteğe bağlı)
Hassas kişisel yazışma Yanlış araç — içerik rölede açıktır Tam olarak bunun için tasarlanmıştır Şifreli
Bülten / tek seferlik indirme Herkese açık tek kullanımlık kabul edilebilir Aşırıya kaçmak Geçici
2FA yedek e-postası Asla herkese açık tek kullanımlık değil Yüksek değerli koruma Şifreli + benzersiz takma ad
Muhbirlik / gazeteci ile iletişim Tek başına yetersiz Tor + onion + PGP minimum Şifreli (Tor üzerinden)

Tablodaki birkaç satırın hem takma adı hem şifrelemeyi önerdiğine dikkat edin. Bu bir orta yol arayışı değildir — en güçlü kurulumlar iki özelliği üst üste koyar: sıfır erişimli şifreli bir gelen kutusuna yönlendirilen benzersiz bir takma ad, tek bir kayıt anında size hem kimlik yalıtımı hem de içerik koruması sağlar. Yalnız bırakılan her iki kanat da açık kalır.

Adım Adım: Monero Takasları ve Kripto Kayıtları İçin E-postayı Kompartımanlaştırma

Aşağıdaki somut iş akışı, düzenli olarak KYC istemeyen borsalar, log tutmayan VPN'ler veya günlük Gmail adresinizi paylaştığınız anda gizliliği bozulan MoneroSwapper gibi hizmetler kullanan herkes için önerdiğimiz yöntemdir.

  1. Şifreli bir temel gelen kutusu oluşturun. Proton Mail, Tuta veya Mailbox.org'a kayıt olun. Bunu Tor üzerinden veya temiz bir VPN oturumuyla, mümkünse telefon numarası vermeden ve parola yöneticisi tarafından üretilmiş bir parola ile yapın. Bu kutuyu e-posta kimliğinizin güvenilir kökü olarak değerlendirin — asla doğrudan üçüncü bir tarafa teslim edilmemeli.
  2. Üzerine bir takma ad servisi katmanlayın. SimpleLogin (Proton'a ait, ancak Proton dışındaki kutular için de takma ad olarak çalışır) veya addy.io iki tıkla yeni adres üretmenize izin verir. Yönlendirmeyi şifreli temel kutuya yapılandırın. Bu noktadan sonra hiçbir dış hizmet temel adresi görmez.
  3. Takma adları güven katmanlarına göre sınıflandırın. Katman A: uzun vadeli tutmayı düşündüğünüz hizmetler — şifreli içerik önemlidir, şifreli temel kutuya yönlenen benzersiz bir takma ad verin. Katman B: tek seferlik kayıtlar, beta testler, airdrop'lar — 30 gün içinde sileceğiniz bir tek kullanımlık takma ad üretin. Katman C: güvenilmez içerik (şüpheli indirmeler, sallantılı bültenler) — Mailinator gibi herkese açık bir tek kullanımlık kullanın ve bir daha açmayın.
  4. Her hizmet için her zaman benzersiz bir takma ad kullanın. Abartı gibi görünse de, ihlalleri kontrol altında tutan tam olarak bu özelliktir. 2027'de ABC Borsa sızdığında yalnızca "abc-borsa-7f2a@sizinalanadiniz" açığa çıkar; kimlik grafiğinizin geri kalanı sağlam kalır. Rotasyon tek tıkla yapılır.
  5. E-posta kompartımanlaştırmasını ödeme kompartımanlaştırmasıyla eşleştirin. Yeni bir borsa hesabı açıyorsanız, hesabı kimlik gerektirmeyen bir servis aracılığıyla takas edilen Monero ile fonlayın — MoneroSwapper bu noktada özellikle bir seçenektir çünkü takas hesap oluşturmadan gerçekleştirilir; böylece hedef borsada kullanılan e-posta tek kimlik yüzeyi haline gelir. Onu sağlamlaştırmak o akışta gerçekten önem kazanır.
  6. Altı ayda bir denetim yapın. Son 180 günde posta alan takma adları listeleyin. Artık kullanmadıklarınızı yakın. Kapattığınız hizmetler için takma adı iptal edin ki gelecekteki yeniden etkinleştirme girişimleri gelen kutusu katmanında başarısız olsun.
  7. Bir çıkış planı yapın. Takma ad sağlayıcınız fiyatları artırır, satın alınır veya kapanırsa bir taşıma hikayeniz olması gerekir. Takma ad listesini dışa aktarmanıza izin veren ve özel alan adı desteği sunan sağlayıcıları tercih edin; böylece eşleşmeyi başka bir yere taşırken aşağıdaki tüm hesapları kırmak zorunda kalmazsınız.

Katmanlamanın Neden Önemli Olduğunu Gösteren Gerçek Senaryolar

Son 18 ayda yaşanan üç senaryo, yanlış aracın — ya da hiç araç olmamasının — nasıl gerçek bir kayba dönüştüğünü gösteriyor.

Senaryo A — yalnızca takma adın başarısızlığı. Çek Cumhuriyeti'nde bir kullanıcı, addy.io takma adlarını sade bir Gmail kutusuna yönlendirerek mükemmel bir kompartımanlaştırma yapmıştı. Kasım 2025'te, kapatılmış bir DeFi protokolünü hedef alan bir oltalama kampanyası başladı. Oltalama yükü "kurtarma e-postanızı doğrulayın" isteği içeriyordu ve kullanıcı, takma ad adresinin önceden doldurulduğunu görünce tıkladı. Kurtarma e-postası, donanım anahtarıyla 2FA korumalı olmayan Gmail'e düştü. Sonuç: cüzdan zincirden değil, gelen kutusundan boşaltıldı. Ders: yalnızca takma ad kimlik bağlantılarını korur, içeriği değil; temel kutu hâlâ şifrelenmiş ve donanım-2FA kilitli olmalı.

Senaryo B — yalnızca şifrelemenin başarısızlığı. Bir kullanıcı, iki yıl boyunca dokuz farklı borsaya, "satoshi_nightowl" takma adına dayanan aynı proton.me adresiyle kaydoldu. Şifreleme özellikleri eksiksizdi. Ancak orta büyüklükte bir borsa 2026 başında bir kimlik bilgisi sızıntısı yaşadığında, sızıntı verisi — içindeki proton.me adresi dahil — takma-ad-takma-ad bağlantı grafiği tutan bir veri tellalı tarafından satın alındı. Haftalar içinde aynı adres bir gizlilik subreddit'indeki forum yazılarına ve bir Mastodon hesabına bağlanmış, kullanıcının gerçek dünya kimliği bir büyükşehir alanına kadar daraltılmıştı. Şifreleme posta içeriklerini korudu; tekrar kullanım konusunda hiçbir şey yapmadı.

Senaryo C — katmanlı savunma. İstanbul'da bir kullanıcı aylık havalelerini MoneroSwapper takasları üzerinden gerçekleştiriyor. Her hedef hizmet (eşler arası nakit-çıkış aracısı, küçük bir stablecoin off-ramp, küçük bir altın bayisi) yalnızca Tor üzerinden erişilen bir Tuta gelen kutusuna yönlenen benzersiz bir takma ad alıyor. Tuta parolası, çevrimdışı saklanan bir parola üreticisinden gelen 64 karakter. Altın bayisi Şubat 2026'da ihlal edildiğinde sızdırılan kayıt, tek seferlik bir takma ad ve ilgisiz bir kargo takma adıydı. Hiçbir korelasyon mümkün değildi. Bu savunmanın maliyeti: ayda yaklaşık on beş dakika ve takma ad planı için dört euro.

Sık Sorulan Sorular

Proton Mail'in "hide my email" özelliğini kullanıp ayrı bir takma ad servisini atlasam olmaz mı?

Olur — Proton'un SimpleLogin entegrasyonu 2026'da mevcut en temiz birleşik kurulumlardan biridir ve iki farklı hesap yönetme yükünü ortadan kaldırır. Karşı taraftaki bedel yoğunlaşmadır: tek bir sağlayıcı temel kutunuzu, takma adlarınızı ve (Proton VPN ile Proton Drive de kullanıyorsanız) çok daha fazlasını elinde tutar. Çoğu kullanıcı için bu kabul edilebilir bir risktir çünkü sağlayıcının tehdit modeli iyi hizalanmıştır, ancak yüksek riskli kullanıcılar tek nokta arızasından kaçınmak için takma ad katmanını depolama katmanından iki farklı sağlayıcıda ayırmalıdır.

Herkese açık tek kullanımlık e-postalar kripto için hiç güvenli midir?

Yalnızca mesaj hesapta herhangi bir işlem yapılmasına izin vermeyecekse. Bir araştırma sitesindeki ücretsiz demo için onay bağlantısı sorun değildir. Bir parola sıfırlama, 2FA yedek kodu veya KYC'ye yakın bir doğrulama ise asla — bu mesajlar kontrolünüzdeki bir kutuya düşmeli. Herkese açık tek kullanımlıkları paspas gibi düşünün: zararsız teslimatlar için yararlı, kaybetmeyi göze alamayacağınız hiçbir şey için değil.

Şifreli e-postamla Tor kullanmak ertesi gün ev Wi-Fi'imden giriş yaparsam gerçekten yardımcı oluyor mu?

İki oturum davranışsal parmak izi, tarayıcı depolama çerezleri ve sağlayıcının kendi IP kayıtları (tutuyorsa) aracılığıyla birbirine bağlanabilir hale gelir. Bir Tor oturumunu on clearnet oturumu izlerse anonimlik faydası neredeyse sıfırdır ve hatta hesabın risk profilini bile yükseltebilir. Tor üzerinden hesap oluşturursanız ya Tor kullanımını tutarlı biçimde sürdürün ya da hesabın en iyi ihtimalle takma adlı olduğunu, anonim olmadığını kabul edin.

Peki ya telefon numaraları — tüm bunları geçersiz kılıyorlar mı?

Gerçek kimliğinize bağlı bir telefon numarası, e-postadan daha güçlü bir korelasyon anahtarı olarak işlev görür. Bir servis SMS doğrulaması zorunlu kılıyorsa, e-posta takma adlandırmasının sağladığı koruma o servis için büyük ölçüde geçersizleşir. VoIP numaraları (JMP.chat, MySudo ve birkaç ön ödemeli eSIM servisi) yardımcı olur, ancak her birinin kendi uyarıları vardır. Türkiye'de BTK kayıtlı operatörlerin SIM kart satışında kimlik zorunluluğu olduğu için yerli prepaid hatlar burner amacıyla kullanılamaz. Mümkün olan her yerde SMS yerine TOTP veya donanım anahtarlarını kabul eden hizmetleri tercih edin; SMS zorunlu kayıtları yalnızca deanonimleştirmenin felaket olmadığı hesaplar için saklayın.

Sadece az miktarda Bitcoin'i belgesiz olarak Monero'ya çevirmek isteyen biri için "doğru" bir kombinasyon var mı?

Küçük, seyrek bir takas için cevap neredeyse önemsizdir: ilk etapta hesap gerektirmeyen MoneroSwapper gibi bir hizmet kullanın, cüzdanınızdan hedef için tek bir Monero alt adresi üretin ve işleme bağlı hiçbir gelen kutusu oluşturmayın. E-posta sorunu yalnızca sürekli iletişim gerektiren — borsalar, köprüler, custodial cüzdanlar gibi — kalıcı hesaplara kayıt olduğunuzda kritik hale gelir. Takasın kendisi hesapsız kalabiliyorsa, gelen kutusu sorusu zaten geçerli değildir.

Türkiye'de KVKK kapsamında bu kurulumun yasal bir boyutu var mı?

Kişisel Verilerin Korunması Kanunu (KVKK), e-posta adreslerini açıkça kişisel veri olarak tanımlar ve veri sorumlularına saklama, silme ve aktarma konusunda yükümlülükler getirir. Ancak bu yükümlülükler size karşı değil, sizin verilerinizi tutan şirketlere uygulanır. Kullanıcı tarafında takma ad veya geçici e-posta kullanmak tamamen yasaldır; herhangi bir suç işlemediğiniz sürece kimlik gizleme aracı olarak gizlilik araçlarını kullanmanız Türk hukukunda korunan bir tercihtir. Buna karşılık MASAK kapsamına giren işlemlerde — yüksek meblağlı para transferleri veya kripto varlık platformlarında belirli eşikleri aşan işlemler — KYC zorunlu olduğundan, oradaki kimlik bilgilerini sahteleştirmek ayrı bir hukuki risktir. Burner e-posta yalnızca KYC dışı, gönüllü kayıt yüzeylerinde kullanılmalıdır.

Sonuç

En temiz zihinsel model, "hangi e-posta daha gizli" sorusunu sormayı bırakıp "gelen kutumun hangi özelliğini sağlamlaştırmaya çalışıyorum ve karşı taraftaki tehdit nedir" sorusunu sormaya başlamaktır. Geçici adresler ve takma adlar, tek bir ihlalin diğer hesaplarla birleştirilebileceği yüzey alanını küçültür. Şifreli gelen kutuları, sunucuda duran içeriğin bir başkasının davasında delile dönüştüğü yüzey alanını küçültür. Bunlar tamamlayıcıdır, ikame değil; en güçlü kurulum her ikisini birden kullanır — hizmet başına benzersiz takma adlar, sıfır erişimli şifreli bir temel kutuya yönlendirilir; en yüksek riskli hesaplar ise kendi alt alan adlarında veya alternatif sağlayıcılarda daha da yalıtılır.

Bitcoin'inizi MoneroSwapper aracılığıyla Monero'ya çevirmek üzereyseniz ve hedef hizmet bir gelen kutusu istiyorsa, takası tamamlamadan önce on dakikanızı daha ayırın: taze bir takma ad oluşturun, onu kontrol ettiğiniz şifreli bir temel kutuya yönlendirin ve mümkün olan her yerde SMS doğrulama yolunu atlayın. Takas işlemin kendisini korur. Gelen kutusu, etrafında olan her şeyi korur. Bunları iki farklı iş akışı olarak değil, tek bir iş akışı olarak ele alırsanız satın almaya niyetlendiğiniz gizlilik çatlaklardan sızmayı bırakır.

← back to blog